(完整word版)密码学试题

一．选择题11、关于密码学的讨论中，下列（D）观点是不正确的。A、密码学是研究与信息安全相关的方面如机密性、完整性、实体鉴别、抗否认等的综合技术B、密码学的两大分支是密码编码学和密码分析学C、密码并不是提供安全的单一的手段，而是一组技术D密码学中存在一次一密的密码体制，它是绝对安全的2、在以下古典密码体制中，属于置换密码的是（B）。A、移位密码B倒序密码C、仿射密码D、PlayFair密码3、一个完整的密码体制，不包括以下（C）要素。A、明文空间B、密文空间匚数字签名D、密钥空间4、关于DES算法，除y（C）以外，下列描述DES算法子密钥产生过程是正确的。入首先将DES算法所接受的输入密钥K（64位），去除奇偶校验位，得到56位密钥（即经过PC-1置换，得到56位密钥）B、在计算第i轮迭代所需的子密钥时，首先进行循环左移，循环左移的位数取决于i的值，这些经过循环移位的值作为下一次循环左移的输入C、在计算第i轮迭代所需的子密钥时，首先进行循环左移，每轮循环左移的位数都相同，这些经过循环移位的值作为下一次循环左移的输入D、然后将每轮循环移位后的值经PC-2置换，所得到的置换结果即为第i轮所需的子密钥Ki5、2000年10月2日，NIST正式宣布将（B）候选算法作为高级数据加密标准，该算法是由两位比利时密码学者提出的。A、MARSB、RijndaelC、TwofishD、Bluefish6、根据所依据的数学难题，除了（人）以外，公钥密码体制可以分为以下几类。A、模幂运算问题8、大整数因子分解问题C、离散对数问题D、椭圆曲线离散对数问题7、密码学中的杂凑函数（Hash函数）按照是否使用密钥分为两大类：带密钥的杂凑函数和不带密钥的杂凑函数，下面（C）是带密钥的杂凑函数。A、MD4B、SHA-1C、whirlpoolD、MD58、完整的数字签名过程（包括从发送方发送消息到接收方安全的接收到消息）包括（C）和验证过程。A、加密B、解密C、签名D、保密传输*9、除了（口）以外，下列都属于公钥的分配方法。A、公用目录表B、公钥管理机构C、公钥证书D、秘密传输10、密码学在信息安全中的应用是多样的，以下（A）不属于密码学的具体应用。A、生成种种网络协议B、消息认证，确保信息完整性C、加密技术，保护传输信息D、进行身份认证二填空题1、信息安全中所面临的威胁攻击是多种多样的，一般将这些攻击分为两大类（主动攻击）和被动攻击。其中被动攻击又分为（消息内容的泄露）和（进行业务流分析）。2、密码技术的分类有很多种，根据加密和解密所使用的密钥是否相同，可以将加密算法分为：对称密码体制和（非对称密码体制）,其中对称密码体制又可分为两类，按字符逐位加密的（序列密码）和按固定数据块大小加密的（分组密码）。3、密码分析是研究密码体制的破译问题，根据密码分析者所获得的数据资源，可以将密码分析（攻击）分为：（惟密文分析）、已知明文分析（攻击）、（选择明文分析）和选择密文分析（攻击）。4、古典密码学体制对现代密码学的研究和学习具有十分重要的意义，实现古典密码体制的两种基本方法（代换）和（置换）仍是构造现代对称分组密码的核心方式。5、（DES）是美国国家标准局公布的第一个数据加密标准，它的分组长度为（64）位，密钥长度为（64（56））位。试题二（15分）:假设Hill密码加密使用密钥73811K，试对密文DHFL解密。答：密钥矩阵K的逆矩阵是1123187,所以，（d,h）=（3,7）解密后变为（3,7）1123187=（0,1）=（a,b）;同理（F,L）=（5,11）解密后变为（5,11）1123187=（2，3）=（c，d）。所以，密文（DHFL）经过Hill密码解密后，恢复的明文是（abcd工班级： 学号： 班内序号 姓名： 装 订 线北京邮电大学2005——2006学年第二学期《现代密码学》期末考试试题（A卷）考试注意事项一、学生参加考试须带学生证或学院证明，未带者不准进入考场。学生必须按照监考教师指定座位就坐。二、书本、参考资料、书包等与考试无关的东西一律放到考场指定位置。三、学生不得另行携带、使用稿纸,要遵守《北京邮电大学考场规则》，有考场违纪或作弊行为者，按相应规定严肃处理。四、学生必须将答题内容做在专用答题纸上，做在试卷、草稿纸上一律无效。考试课程考试时间年月日题号一二三四五六七八总分满分得分 阅卷教师试题一（10分）：密码系统安全性的定义有几种？它们的含义是什么？答：现有两种定义"安全性”的方法。一种是基于信息论的方法（经典方法\另一种是基于计算复杂性理论的方法（现代方法）基于信息论的定义是用密文中是否蕴含明文的信息作为标准。不严格地说，若密文中不含明文的任何信息，则认为该密码体制是安全的，否则就认为是不安全的。基于计算复杂性理论的安全性定义则不考虑密文中是否蕴含明文的信息，而是考虑这些信息是否能有效地被提取出来。换句话说，把搭线者提取明文信息的可能性改为搭线者提取明文信息的可行性，这种安全性称为有条件安全性，即搭线者在一定的计算资源条件下，他不能从密文恢复出明文。试题二（10分）：假设Hill密码加密使用密钥73811K,试对明文abed力口密。 答：(a,b)=(0,1)加密后变为(0,1)73811=(3,7)=(d,h);同理(c,d)=(2,3)加密后变为(2,3)73811=(3L37)=(5,11)=(F,L)。所以，明文(abed)经过H川密码加密后，变为密文(DHFL\试题三(10分)：设有这样一个密码系统，它的明文空间yxB的概率分布为4/3)(,4/1)(ypxpPP;它的密钥空间cbaK„的概率分布为4/1)()(,2/1)( cpbpapKKK它的密文空间 4,3,2,1C,假定该密码系统的加密函数为：4)C3)(；3)C2)(;2)C1)( yexeyexeyexeccbbaao请计算：(1)密文空间的概率分布；(2)明文关于密文的条件分布；(3)明文空间的精。答：(1)密文空间的概率分布为：1/8;7/16;1/4;3/16(2)明文关于密文的条件分布)(cmp表如下：(3)明文空间的精为：81.0)3(log43243log4341log41)(222 PH试题四(10分)设DES密码中的初始密钥是K二(6310,„bbb ,),记DES加密算法中16轮加密过程中所使用的子密钥分别为1621〃,KKK。请你计算出第一个子密钥1K的数学表达式。答：先对初始密钥K二(6310,,,bbb,)进行一个密钥置换PC-1(见下PC-1表1),将初始密钥的8个奇偶校验位剔除掉，而留下真正的56比特初始密钥(0C0D)。接着分别对0C及0D进行左一位循环，得到1C与1D，连成56比特数据。再依密钥置换PC-2(如下PC-2表2)做重排，便可得到子密钥1K。表1表1:密钥置换PC-1表2密钥置换PC-2试题五(10分)设p和q是两个大于2的素数,并且n=pq。记)(m是比正整数m小，但与m互素的正整数个数。再设e和d是两个正整数，分别满足gcd(e,)(n)=1,edl(mod)(n)o设函数E(m)和D(c)分别定义为E(m)me(modn)和D(c)cd(modn)o请问(1))(n等于多少？(2)请证明对于任何正整数m,都成立恒等式D(E(m))二m。答：(l))(n=(p-l)(q-l)o(2)其实，只需要证明RSA的解密正确性就行了。当(m,n)=1时，则由欧拉定理可知m)(modl)(nnO当(m,n)>1时，由于n=pq,故(m,n)必含p,q之一。不妨设(m,n)=p,则m=cp,(1c<q),由欧拉定理知m)(modl)(qq。因此，对于任何k，总有m)(modl)l(qqk,m)(modl)l()l()l)(l(qpkqpk ,即m)(modl)(qnk。于是存在h(h是某个整数)满足m)(nk+hq=L由假定m二cp。故m=ml)(nk+hcpq=ml)(nk+hcno这就证明了m=ml)(nk(modn)o因此对于n及任何m(m<n)，恒有m)(modl)(nmnko所以,D(E(m))=D(c) cd=med=ml)(nl=m(modn)o命题得证。试题六(10分)：(1)请利用著名的RSA公钥密码算法设计一个数字签名算法(称为RSA签名算法\(2)由于RSA签名算法每次只能对一个固定长度(比如N比特)的消息进行签名，为了对任意长度的消息进行签名，有人建议了这样一种处理方法：首先将长消息切割成固定长度N比特的数据块，然后用RSA签名算法对每个数据块进行签名,最后将这些签名块拼接起来就得到了长消息的签名。请问这种切割处理方法所获得的签名算法安全吗？为什么？答(1RSA签名算法的系统参数可设为n=pq,且p和q是两个大素数贝］M=A二Zn,定义K={(n,d,p,q,e)}这里e和d满足edl(mod0(n))(①()是欧拉函数)。公开密钥n,d;私有密钥p,q,e;签名算法为Sig2K(x)=xemodn;签名验证算法为Ver(x,y)=TRUExyd(modn).(x,y)ZnZn。更直观地说，用RSA解密算法作为签名，用RSA的加密作为验证，于是，只有合法用户自己才能签名，而任何人都可以(完整word版)密码学试题验证签名的真实性。其实，基于任何一个加、解密算法顺序可交换的密码算法都可用于设计一个数字签名算法，只需要以解密做签名，以加密做验证就行了。(2)切割和拼接处理方法所获得的签名算法不安全。因为，假如m和n是两个N比特的消息，那么，黑客可以通过已知的m和n的签名S(m)S(n),至少获得另一个消息nm的合法签名S(n)S(m)o试题七(10分)：(1)请详细叙述Diffie-Hellman密钥预分配协议;(2)如果去掉Diffie-Hellman密钥预分配协议中的证书(即不存在可信中心)，请你给出一种有效的中间人攻击方法，即攻击者截获通信双方通信的内容后可分别冒充通信双方，以获得通信双方协商的密钥。答：(1)为完整描述Diffie-Hellman密钥预分配协议，用ID(U)表示网络中用户U的某些识^信息。每个用户U有一个秘密指数)20( paaUU和一个相应的公钥pbUaUmod。可信中心有一个签名方案，该签名方案的公开验证算法记为VerTA,秘密签名算法记为SigTA。当一个用户U入网时，可信中心需给他颁发一个证书：C(U)=(ID(U),bU,SigTA(ID(U),bU))o可信中心对证书的签名允许网络中的任何人能验证它所包含的信息。U和V计算共同的密钥pkVUaaVUmod,的协议,即,Diffie-Hellman密钥预分配协议如下：1)公开一个素数p和一个本原元*PZ。)V使用他自己的秘密值Va及从U的证书中获得的公开值Ub,计算pbpkVVUaUaaVUmodmod,)U使用他自己的秘密值Ua及从V的证书中获得的公开值Vb,计算pbpkllVUaVaaVUmodmod,(2)如果在上述Diffie-Hellman密钥预分配协议中去掉了可